×××————虚拟专有网
在internet上创建一条虚拟的通道,身处不同位置的公司可以通过这条通道相互传输数据,当然数据在传输的过程中是经过加密的
一、×××建立连接的两种模式
a) 传输模式
i. ×××在这种模式下传输数据时,仅仅是保护数据本身部分(不保护数据包头),在传输的过程中,包头中的IP信息仍然是真实的机器的IP
b) 隧道模式
i. ×××在这种模式下传输数据时,保护的是整个数据(包括数据本身和数据包头信息);然后再给数据重新封装一个IP包头的信息,不仅起到保护数据的功能也保护了数据发送者的IP
二、身份验证、数据加密采用的方法
a) 加密方法
i. 对称加密算法
1. DES
2. 3DES
3. AES
ii. 非对称加密算法
1. DH
b) 认证方法
i. Md5
ii. Sha
c) 在建立数据连接采用的加密和认证方法
i. AH
ii. ESP
三、IPSEC ×××的配置
×××的配置可以在路由器、ASA防火墙上进行配置;但在路由器上配置×××的时候可以支持ESP、AH的加密和认证方法;但ASA防火墙只支持ESP的加密和认证方法
Pc1-------R1---------internet------------R2-------------pc2
1、IPSEC ×××在路由器上的配置
a) 建立管理连接
i. 管理连接是一个IKE的交换过程,其采用UDP协议的500端口
ii. 配置命令
Crypto isakmp policy 1
Encryption {3des | des | aes}
Hash {md5 | sha}
Authentication pre-share
Group {1 | 2 | 5 }
Crypto isakmp key {0 | 6 } key keystring address IP_ADDRESS
0:表示KEY在传输的过程中不需要加密
6:表示KEY在传输的过程中需要加密
b) 建立数据连接
i. 配置数据在传输的过程中采用哪种模式,采用哪种加密算法,采用哪种认证方法
ii. 配置命令
定义需要进行×××的ACL
Crypto ipsec transform-set name esp-des ah-md5
Mode tunnel
Crypto map name priority isakmp-ipsec
Match address access-list num
Set transform-set name
Set peer ip_address
Interface f0/0
Crypto map transform-set-name
